政府部門導入資訊安全管理系統之分析

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：28

、訪客IP：18.224.67.149

姓名

翁燕秋(Weng Yen-chiu) 查詢紙本館藏

畢業系所

營建管理研究所在職專班

論文名稱

政府部門導入資訊安全管理系統之分析

相關論文

★ 建立以層級分析法為基礎的洪災計畫評估模型- 以印尼雅加達為例	★ 臺北市污水下水道用戶接管開口契約內容及執行案例之研究
★ 應用知識本體技術協助建築專案單價分析作業之研究	★ 以貝式信念網路為基礎之工作危害分析與風險評估方法
★ 危險性工作場所審查機制之研究	★ 國內建築工程規劃設計及監造為同一廠商辦理現況問題之研究
★ 台灣家族企業接班佈局之個案研究-以中國砂輪公司為例	★ 以安全氣候評估國內營造業分包制度與勞工安全之研究-以台灣北部營造業為例
★ 營建工地人為錯誤分析之認知因子辨識與涵義	★ 專案層級河川工程永續營建評估指標系統建立之研究
★ 綠建築與房地產投資影響因子關聯性之探討	★ 營造業職業安全衛生管理執行工具及方法之研究
★ 軌道施工品質管理改善方案之研究	★ BIM輔助消防安全設備審查流程
★ 國內推動國際鐵路行業標準(IRIS)品質管理體系認證之研究	★ 臺灣建築業執行透過設計預防工程危害之可行性研究

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

至系統瀏覽論文 ( 永不開放)

摘要(中)

在這十倍速的時代裡，資訊科技一日千里，伴隨而來的資訊安全問題，對政府單位或是私人企業來說都是一項挑戰。如何善用有限的資源，落實資訊安全管理，是每個組織都要面臨的重大課題。因此，行政院制定「政府機關（構）資通安全責任等級分級作業規定」，要求所有單位需依據此規定導入ISMS。並於2012年實施「個人資料保護法」，對於民眾的個人資料，所有單位均需加以全面防護。
本研究藉由個案單位實際的經驗，尋求較符合現階段政府機構需求的資訊安全管理系統之導入過程及方法，提供給未來推動者參考；再者，本研究將政府機關因應新版標準ISO 27001: 2013及風險管理標準之增修部分特別加以描述；同時，個人資料保護法實施後，公務單位如何因應變化所採取的措施，以及其所關注的重點呈現出來，使得未來研究者或新的執行者得以掌握重點及清楚其脈絡。
經由研究分析發現導入的關鍵成功因素為﹕高階主管的支持、資安政策的宣導與推廣、全體員工的積極參與、不斷的稽核與矯正、提供完善的教育訓練、具備資安專業之資安人員以及選擇合適的資安輔導顧問…等因素，均為導入資訊安全管理系統時的關鍵成功因素，也正是各個機關須特別重視並落實執行的要點。
且經由研究結論得知，若能執行上述要點，各機關或組織在導入及實施ISMS後，將產生的效益有﹕降低重要資訊外洩之風險、提昇面臨資訊戰之防禦能力、保護組織之機敏資料、提昇公司內部資安的保護等級、增進系統之穩定性及可用性、改善組織資訊管理環境、維持機關良好聲譽、增加民眾對政府機關之信賴感與支持、提昇政府機關正確之資訊安全觀念、機關業務永續營運…等效益。

摘要(英)

Information technologies have been advanced greatly and rapidly in recent years, and accompany information safety issues that are challenges to government agencies and private enterprises. How to use limited resources to fulfill information safety management becomes a significant lesson facing every organization. Thus, the Executive Yuan promulgated “Government Agencies Information and Communication Security Responsibility Grade and Classification Regulations” to require all agencies to implement information security management system (ISMS). The Personal Data Protection Act implemented in 2012 also requires all agencies protect personal data of the public.
This research identifies an ISMS introduction process and approach suitable for government agencies by learning from the experience of a study case agency. Moreover, this research specifically describes the new version of ISO 27001: 2013 and the addendum of risk management standards, and also presents and highlights the actions and concerns of government agencies in response to the implementation of Personal Data Protection Act. Such efforts shall benefit future researchers and new implementers to quickly understand the essentials of these topics.
This research finds that the critical success factors for introducing ISMS include: supports of executives, propaganda and promotion of information security policies, active participation of all employees, continuous audits and correction, provision of complete educational training, employment of staff with information security expertise, and selection of proper information security consultants. These factors are also key points of implementing ISMS for agencies.
In addition, this research identifies the following benefits of introducing and implementing ISMS: reduce risks of information leakage, increase defense ability for information warfare, protect classified and sensitive data of agencies, upgrade organizations’ protection level of internal information security, improve the stability and practicality of systems, improve organizations’ information management environment, maintain good reputations of agencies, increase the public’s support and confidence in government agencies, promote agencies’ correct information security concepts, and sustainable operations of agencies’ businesses.

關鍵字(中)

★ 資訊安全
★ 資訊安全管理系統
★ ISO 27001
★ 風險管理
★ 關鍵成功因素

關鍵字(英)

★ information security
★ information security management system
★ ISO 27001
★ risk management
★ critical success factor

論文目次

目錄

摘要 ..............................................i
ABSTRACT ii
誌謝 …………………………………………………………iii
目錄 .............................................iv
圖目錄 ...........................................vii
表目錄 ..........................................viii
第一章緒論 1
1-1 研究背景及動機 1
1-2 研究問題與目的 3
1-2-1 研究問題： 3
1-2-2 研究目的: 3
1-3 研究流程及架構 4
第二章文獻探討 5
2-1 資訊安全的定義 5
2-1-1 實體安全 6
2-1-2 營運安全 6
2-1-3 管理與政策 7
2-2 資訊安全的威脅及所發生的危害事件 9
2-2-1 資訊安全的威脅 9
2-2-2 資訊安全事件 10
2-2-3 政府在推動重大資安政策上的發展進程 11
2-3 ISO/IEC 27001資訊安全管理標準 12
2-4 資訊安全管理系統 15
2-5 資訊安全管理系統認證 18
2-6 風險管理及風險評鑑 19
2-6-1 風險管理的定義及影響 19
2-6-2 資訊系統風險管理過程 21
2-6-3 風險評鑑 23
2-7 關鍵成功因素(Critical Success Factors, CSF) 27
2-7-1 關鍵成功因素之定義 27
2-7-2 關鍵成功因素之特性 29
2-7-3 關鍵成功因素的理論過程確認方法 29
2-8 資訊安全管理系統相關文獻 30
第三章個案單位導入說明 33
3-1 個案背景介紹 33
3-1-1 個案機關簡介 33
3-1-2 顧問背景介紹 33
3-2 導入範圍及前期先行作業 34
3-2-1 範圍 34
3-2-2 前期先行作業 34
3-3 導入規畫與執行 36
3-3-1 建置資訊安全管理制度之規畫 36
3-3-2 導入與執行 44
第四章ISMS導入之困難、關鍵成功因素及效益之調查分析 49
4-1 問卷設計及發送 49
4-1-1 問卷設計 49
4-1-2 問卷發送對象及時間 53
4-1-3 回收問卷的計分方式 53
4-2 問卷結果分析 53
4-2-1 個人基本資料部份分析如下: 53
4-2-2 組織導入現況分析: 55
4-2-3 個案單位與其他公務單位比較 61
4-2-4 在遭遇困難部份，個案單位與問卷統計結果之比較 62
4-3 專家訪談 63
4-3-1 導入ISMS 之關鍵成功因素 64
4-3-2 導入ISMS 時遭遇之困難 65
4-3-3 導入ISMS之效益 66
4-3-4 其他 67
4-3-5 對政府部門導入 ISMS 之建議 70
4-4 小結 70
4-5 綜合分析 72
第五章結論與建議 73
5-1 結論 73
5-2 未來研究方向與建議 73
5-3 研究貢獻 74
5-4 研究限制 75
參考文獻 76
附錄 .............................................82

圖目錄
圖1-1 研究流程 4
圖2-1 全球面臨的資安威脅 10
圖2-2 我國重大資安政策發展進程 12
圖2-3 資訊安全管理系統架構圖 13
圖2-4 AIC三角 16
圖2-5 ISO/ IEC 27001 (CNS 27001)流程導向管理方法 17
圖2-6 資訊系統風險管理過程 22
圖2-7 資訊安全風險管理過程圖 24
圖2-8 詳細風險評鑑作法活動程序圖 26
圖3-1 個案單位資訊安全組織圖 35
圖3-2 四階文件 46
圖4-1 關鍵成功因素－組織內部構面 56
圖4-2 關鍵成功因素－組織外在構面 56
圖4-3 關鍵成功因素－人為因素構面 57
圖4-4 關鍵成功因素－資訊科技構面 57
圖4-5 導入資訊安全管理系統之效益分析 58
圖4-6 組織導入ISMS遭遇困難－員工構面 59
圖4-7 組織導入ISMS遭遇困難－推動團隊 59
圖4-8 組織導入ISMS遭遇困難－內外資源部份 60
圖4-9 組織導入ISMS遭遇困難－組織環境構面部份 61
圖4-10 資訊安全管理系統導入流程 69

表目錄
表2-1 國內外相關研究對資訊安全的定義 8
表2-2 危害資訊安全的因素 9
表2-3 全球前十大取得ISO 27001的國家與數量 18
表2-4 資訊安全管理規範的認證步驟 19
表2-5 關鍵成功因素的定義之相關文獻 27
表2-6 資訊安全管理系統相關文獻 30
表3-1 教育訓練內容 35
表3-2 資訊安全管理制度建置主時程表 36
表3-3 資訊安全管理制度建置時程分項表 38
表3-4 資訊系統清冊 39
表3-5 資訊資產類別 40
表3-6 安全等級評估表(以「即時路況資訊系統」為例) 41
表3-7 資訊資產評鑑表 43
表3-8 資訊安全管理制度進度說明 44
表4-1 導入關鍵成功因素摘要表 50
表4-2 導入效益分析摘要表 51
表4-3 問卷「導入資訊安全管理系統遭遇困難」摘要 51
表4-4 回收問卷統計－個人基本資料 53
表4-5 填答者服務單位及職稱 54
表4-6 專家基本資料表 63

參考文獻

參考文獻
一、中文部份﹕
[1] 大前研一，黃宏義譯，《策略家的智慧》，台北長河出版社，1984
[2] 吳思華，《產業政策與企業策略》，中國經濟企業研究，1988
[3] 黃營杉、盧峰海、郭崑謨、吳智、陳明璋、蔡明宏，《企業政策》，國立空中大學，1991
[4] 黃亮宇，《資訊安全規劃與管理》，松岡電腦圖書，1992
[5] 劉國昌、劉國興，《資訊安全》，儒林圖書有限公司，1995
[6] 司徒達賢，《策略管理》，臺北遠流出版社，1995
[7] 吳思華，《策略九說-策略思考的本質》，臉譜出版，2000
[8] 周宣光，《管理資訊系統》，東華書局，2000
[9] Yin, R. K、尚榮安譯，《個案研究》，弘智文化，2001
[10] 樊國楨，《資通安全專輯之五資訊安全風險管理》，行政院國家科學委員會技術資料中心，2002
[11] 吳俊德，《ISO 17799 資訊安全管理關鍵重點之探討》，國立中正大學企業管理研究所碩士論文，2002
[12] 李順仁，《管理安全》，文魁圖書，2002
[13] 吳琮璠、謝清佳，《資訊管理：理論與實務》，智勝出版社，2003
[14] 徐正，《組織導入BS7799後之資訊安全管理成效研究》，淡江大學資訊管理學系碩士論文，2004
[15] 方鴻春，《企業建置資訊安全管理系統（ISMS）之平衡績效指標研究－以個案單位為例》，國立台灣科技大學工業管理研究所碩士論文，2004
[16] 鄧家駒，《風險管理》，華泰文化事業股份有限公司，2005
[17] 施宗英，《行政機關風險管理推動構想與作法》，研考雙月刊，29(3)，88~94，2005
[18] 張詠翔，《結合BS7799與資訊安全藍圖建構資訊安全評估機制之研究》，銘傳大學資訊管理學系碩士在職專班，2005
[19] 謝惠玲，《資訊安全機制規劃及建置之現況調查與分析--以國內大學校園系統為例》，靜宜大學資訊管理學系研究所，2007
[20] 張士龍，《政府部門導入ISO27001關鍵成功因素之研究》，世新大學資訊管理學研究所碩士論文，2007
[21] 周宣光，《管理資訊系統--- 管理數位化公司 (Management Information Systems: Managing the Digital Firm)（第7版）》，東華書局，2007
[22] 詹燦芳，《國內ISMS導入效益、成功要素與遭遇困難之研究》，國立台灣科技大學資訊管理學研究所碩士論文，2008
[23] 葉乃菁，《網路概論》，文魁資訊，2008
[24] 王振鴻，《全組織導入資訊安全管理系統的個案研究》，私立長庚大學資訊管理研究所碩士論文，2009
[25] 行政院研考會，《風險管理及危機處理作業手冊》，行政院研考會，2009
[26] 邱瑩青，《資訊安全的最大威脅-人員安全》，資安人科技網， 2009
[27] 林東清，《資訊管理e化企業的核心競爭能力四版》，智勝，2010
[28] 林麗英，《資訊安全管理系統績效評估之研究－以檔案管理局為例》，朝陽科技大學資訊管理學系碩士論文，2010
[29] 金天翼，《以個案研究法探討組織ISMS之導入》，國立中央大學資訊管理學系碩士論文，2011
[30] 資策會，《100年度國家資通安全技術服務與防護管理委外服務案的資訊系統風險評鑑參考指引(修訂) (V2.1)》，資策會，2011
[31] 中華民國資訊軟體協會，《資訊安全管理系統研究計畫期末報告》，國家通訊傳播委員會，2011
[32] 陳錦輝，《計算機概論探索未來》，金禾，2012
[33] 黃中河，《應用網路分析法探討企業導入ERP系統之關鍵成功因素》，國立高雄應用科技大學工業工程管理學系未出版論文，2012
[34] 潘天佑，《資訊安全概論與實務 (第三版) 》，碁峯，2012
[35] 行政院國家資通安全會報，《國家資訊安全發展方案(102年至105年) 》，行政院，2013
[36] CNS/ISO/IEC27001:2013 資訊技術─安全技術─資訊安全管理系統─要求事項，國家標準局，2014
[37] 資策會，《103年資安服務暨專案管理辦公室，資訊系統風險評鑑參考指引修訂報告(V1.0)》，資策會，2014
[38] 行政院國家資通安全會報，《政府機關（構）資通安全責任等級分級作業規定》，行政院，2015
[39] 行政院國家資通安全會報，《資訊系統分級與資安防護基準作業規定》，行政院，2015
[40] 林祝興、張明信，《資訊安全概論第二版》，旗標，2016

二、英文部份﹕
[1] Aaker , “Strategic market management”,New York:John Wiley & Sons,pp174,1984
[2] Ansoff, H. I., “Strategic Management”, Wiley, 1979
[3] Barnard,C. I. “The Functions of the Executive”, Cambridge, Mass. Harvard U.Press,1938
[4] Commons, J. R., “Institutional Economics”, New York: The Macmillan Company, 1934
[5] Daniel, D.R., “Management Information Crisis”, Harvard Business Review, pp. 111-121, 1961
[6] David A. Aaker, “Strategic Market Management”, New York：John Wiley & Sons Inc., pp284, 1984
[7] Ellsberg, Daniel,Risk, “Ambiguity and the Savage Axioms”, Quarterly Journal of Economics, Vol. 75, No. 4., pp. 643-669,1961
[8] Ferguson & Dickinson, “In Defense of Technical Analysis”, Journal of Finance, Washington. D.C., Vol. 40, pp.757~775,1982
[9] Finne T.,“Information Systems Risk Management:Key Concepts and Business Processes,Computers & Security”,2000
[10] Hofer, C. W., and Schendel, D. E.,“Strategy Formulation: Analytical Concepts”, West Publishing St. Paul, 1978
[11] Hofer, Charles W. and Dan Schendal., “Strategic Management”,New York：McGraw-Hill, Inc.,1987
[12] Hutt A.E., “Management’s Role in Computer Security”,Computer Security Handbook,Wiley,New York,1995
[13] ISO 31000:2009 Risk management ─ Principles and guidelines， ISO, 2009
[14] IBM, “IBM Data Security Support Programs”,USA,1984
[15] Leidecker, J.K. and Bruno, A.V.，“Identifying and Using Critical Success Factors. ”，Long range Planning，Vol.17，No.1，p.23-32,1984
[16] Parker, D.B., “The Strategic Values of Information Security in Business. Computers & Security”, 16(7), 572-582,1997
[17] Rockart, “Chief executives define their own data needs”, Harvard.Business Review March-April, p.81-93,1979
[18] Thompsons, A., and Strickland, A. J., “Common Types of Key Success Factors. Strategic Management Concepts and Case”, Business Publication Inc, 1998

三、網站資料
[1] 蘇文彬，「e中國信託網路繳費中心個資外洩案，金管會開罰400萬元」，
，2013，最後瀏覽日期：2016年8月22日。
[2] NoticeBored，「ISO/IES 27001」，，最後瀏覽日期：2016年8月22日。
[3] 財團法人中華民國國家資訊基本建設產業發展協進會，「資訊安全顧問服務(ISMS)」，，最後瀏覽日期：2016年8月22日。
[4] 胡凱智，「網管人員基礎必知資訊安全防護與存取控制」，網管人，，2013，最後瀏覽日期：2016年8月22日。

指導教授

王翰翔(Han-Hsiang Wang)

審核日期

2016-8-24

推文